Les certificats PKI dispersés présentent des risques en termes de continuité

Les certificats PKI dispersés présentent des risques en termes de continuité
09 Nov ‘21

De nombreuses organisations choisissent de confier la responsabilité de leur infrastructure informatique PKI à 1 ou 2 gestionnaires. Cette gestion peut très vite concerner des dizaines de certificats digitaux de serveurs publics et quelques centaines de certificats internes qui sont édités à partir d’une AC (autorité de certification) privée (ou interne). Ces certificats PKI ‘internes’ sont installés et déployés via un éventail de paramétrages des stratégies de groupe Windows, de l’autorité de certification (AC) principale de l’entreprise, de politiques relatives au réseau, SCCM à notamment le serveur IIS Windows. Il est très fréquent que la durée de validité des certificats internes soit de plusieurs années. Il arrive régulièrement qu’au bout de quelques années, les serveurs deviennent soudainement inaccessibles, parce que les certificats assurant l’ infrastructure IPK sécurisée ne sont plus valables et n’ont pas été (automatiquement) renouvelés dans les délais.

Ce type d’inefficacité est aussi la conséquence de changements de fonction des personnels informatiques ou parce qu’ils quittent l’organisation. Pour les personnes qui les remplacent, il est souvent très difficile d’avoir une vue d’ensemble de tous les certificats PKI sur le réseau et d’assurer le renouvellement des certificats arrivés à échéance. Sans Système de Gestion de Clés et de Certificats, qui facilite les tâches de gestion, il est quasiment impossible de créer un nouveau PKI qui soit gérable lorsque l’infrastructure informatique se complexifie et que le nombre de certificats au sein du réseau augmente.

Le scan des certificats comprend la détection de tous les certificats qui sont installés à différents terminaux de votre réseau. Lors de la détection, les données importantes des certificats sont enregistrées, comme la localisation, la validité, la durée jusqu’à échéance, la position dans le réseau de confiance, etc. Ce type de scan permet d’évaluer la sécurisation de l’infrastructure du réseau et constitue une aide pour la recherche de manquements.

Il existe différentes possibilités de scans gratuits, comme le SSL Server test de Qualys et le SSL Certificate Scanner Tool de Netscantools. Ces outils gratuits sont toutefois limités, en ce sens qu’ils ne peuvent scanner que depuis l’extérieur, et donc joindre uniquement les serveurs qui sont ‘ouverts’ sur internet. De nombreux scans commerciaux qui sont capables de scanner l’intérieur de votre réseau, et donc de détecter également les certificats internes, nécessitent un proxy à l’intérieur de votre réseau parce qu’ils sont basés en ” cloud “. L’inconvénient, en plus du risque au niveau sécurisation, est que ce scan est toujours partagé avec le partenaire commercial et qu’il y a donc de l’information sur votre réseau interne qui est partagé à distance avec un partenaire externe.

 

Le Smart Security Scan (SSS) de KeyTalk est, tout comme le CKMS de KeyTalk, disponible comme une Machine virtuelle (MV). Cela signifique que, dans un environnement hyperviseur (VMware, HyperV ou AWS, Azure et Google cloud), le serveur + l’application sont immédiatement disponibles dès le chargement de l’image. Le SSS de KeyTalk est donc simple et rapide à installer au sein d’une infrastructure informatique, même au sein de VLANs air gapped.

 

Le Smart Security Scan de KeyTalk fonctionne de manière complètement indépendante et ne constitue pas une partie intégrante de la solution Système de Gestion de Clés et de Certificats (CKMS) de KeyTalk. Il peut détecter tous les certificats reliés à un port au sein de l’infrastructure informatique, aussi bien sur les serveurs (web) internes qu’externes. Dès que le SSS de KeyTalk détecte un certificat, l’intégralité du certificat avec les données pertinentes sont importées dans la base de données SSS de KeyTalk pour le rapport les applications d’exportation. Durant la détection de certificats, le SSS de KeyTalk effectue également un inventaire des erreurs de configurations SSL les plus connues des serveurs web présents sur le réseau. De plus, le SSS peut également effectuer des scans à part sur d’autres sensibilités (si les points terminaux le permettent). Cette information est testée à partir d’une base de données CVE® disponible en ligne, qui est localement synchronisée dans le SSS de KeyTalk. Tous les éléments connus comme étant sensibles aux cyber attaques y sont intégrés.

C’est donc une façon simple et rapide d’avoir une vision complète des certificats manquants au sein du réseau. Bien entendu, il ne s’agit là que du premier pas important afin de maîtriser la gestion de vos certificats. Les certificats détectés par le SSS de KeyTalk peuvent être importés de manière très simple dans le CKMS de KeyTalk et la gestion PKI peut à partir de là être complètement automatisée. Et c’est exactement ce que vous recherchez !

Si vous souhaitez de plus amples informations sur le Smart Security Scan de KeyTalk, ou sur la gestion complètement automatisée de votre infrastructure informatique PKI à l’aide du Système de Gestion de Clés et de Certificats, de KeyTalk, contactez-nous dès aujourd’hui !

L’équipe de KeyTalk